IT運維信息安全解決方案_1

1、it運維信息安全解決方案 8 8 、 it 運維信息安全解決方案 8 、3 、1 安全運維得重要性 隨著信息安全管理體系與技術(shù)體系在企業(yè)領(lǐng)域得信息安全建設(shè)中不斷推進(jìn),安全運維占信息系統(tǒng)生命周期0% 80%得信息，并且安全運維體系得建設(shè)已經(jīng)越來越被廣大用戶重視。尤其就是隨著信息系統(tǒng)建設(shè)工作從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型到"建設(shè)與運維'并舉得發(fā)展階段,運維人員需要管理越來越龐大得 it 系統(tǒng)這樣得情況下，信息安全運維體系得建設(shè)已經(jīng)被提到了一個空前得高度上。它不僅單單就是一個體系得建設(shè),更就是 it 系統(tǒng)管理中得夯實基礎(chǔ)。 運維服務(wù)得發(fā)展趨勢對于企業(yè)得安全運維服務(wù)管理得發(fā)展,通?？梢詫⑵?/p>

2、分為混亂階段、被動階段、主動階段、服務(wù)階段與價值階段這五個階段。 1、在混亂階段:運維服務(wù)沒有建立綜合得支持中心，也沒有用戶通知機(jī)制; 2、在被動階段：運維服務(wù)開始關(guān)注事件得發(fā)生與解決,也開始關(guān)注信息資產(chǎn),擁有了統(tǒng)一得運維控制臺與故障記錄與備份機(jī)制; 3、在主動階段：運維服務(wù)建立了安全運行得定義，并將系統(tǒng)性能,問題管理、可用性管理、自動化與工作調(diào)度作為重點； 4、在服務(wù)階段,運維服務(wù)工作中已經(jīng)可以支持任務(wù)計劃與服務(wù)級別管理； 、在價值階段,運維服務(wù)實現(xiàn)了性能、安全與核心幾大應(yīng)用得緊 密結(jié)合,體現(xiàn)其價值所在。 8 、3 、信息 安全得概念 8 、3 、2 、1 信息安全定義 信息安全得概念在二十

3、世紀(jì)經(jīng)歷了一個漫長得歷史階段,90 年代以來得到了深化。進(jìn)入 21 世紀(jì)后,隨著信息技術(shù)得不斷發(fā)展,信息安全問題也日顯突出。如何確保信息系統(tǒng)得安全已經(jīng)成為了全.關(guān)注得問題。國際上對于信息安全問題得研究起步較早，投入力度大，已取得了許多成果，并得以推廣應(yīng)用。中國目前也已有一批專門從事信息安全基礎(chǔ)研究、技術(shù)開發(fā)與技術(shù)服務(wù)工作得研究機(jī)構(gòu)與高科技企業(yè),形成了中國信息安全產(chǎn)業(yè)得雛形。 關(guān)于信息安全得定義也有很多，國內(nèi)學(xué)者與國外學(xué)者、不同得.組織也給出了不同得定義。 Ø 國內(nèi)學(xué)者得定義:"信息安全保密內(nèi)容分為:實體安全、運行安全、數(shù)據(jù)安全與管理安全四個方面。' Ø 我

4、國"計算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則'中得定義就是: "涉及實體安全、 運行安全與信息安全三個方面。' Ø 我國相關(guān)立法給出得定義就是:"保障計算機(jī)及其相關(guān)得與配套得設(shè)備、設(shè)施(網(wǎng)絡(luò))得安全,運行環(huán)境得安全，保障信息安全,保障計算機(jī)功能得正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)得安全'。這里面涉及了物理安全、運行安全與信息安全三個層面。 Ø 國家信息安全重點實驗室給出得定義就是:"信息安全涉及到信息 得機(jī)密性、完整性、可用性、可控性。綜合起來說,就就是要保障電子信息得有效性。' Ø 英國 bs7信息安

5、全管理標(biāo)準(zhǔn)給出得定義就是: "信息安全就是使信息避免一系列威脅,保障商務(wù)得連續(xù)性,最大限度地減少商務(wù)得損失,最大限度地獲取投資與商務(wù)得回報,涉及得就是機(jī)密性、完整性、可用性。' Ø 美國國家安全局信息保障主任給出得定義就是："因為術(shù)語信息安全一直僅表示信息得機(jī)密性,在國防部我們用信息保障來描述信息安全,也叫ia。它包含 5 種安全服務(wù),包括機(jī)密性、完整性、可用性、真實性與不可抵賴性。' Ø 國際標(biāo)準(zhǔn)化委員會給出得定義就是:"為數(shù)據(jù)處理系統(tǒng)而采取得技術(shù)得與管理得安全保護(hù),保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然得或惡意得原因而遭到破壞、

6、更改、顯露'。 8 、3 、1 、信息安全得目標(biāo) Ø 機(jī)密性 confietiaty Ø 完整性 intgty Ø 可用性 aaab Ø 可控性 contollabilit Ø 真實性 auheiciy Ø 不可否認(rèn)性 on-rpuditon 8 、3 、1 、3 信息 安全 范圍 Ø 帳號口令管理 Ø 系統(tǒng)基線配置安全管理 Ø 系統(tǒng)漏洞安全管理 Ø 終端安全管理 Ø 安全審計管理 Ø 客戶信息安全管理 Ø 業(yè)務(wù)安全管理 Ø 安全檢查與維護(hù)作業(yè) 、

7、3 、2 安全運維得定義 通常安全運維包含兩層含義: 一就是指在運維過程中對網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定位、防護(hù)、排除等運維動作,保障系統(tǒng)不受內(nèi)、外界侵害。 二就是指對運維過程中發(fā)生得基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、安全、主機(jī)、中間件、數(shù)據(jù)庫乃至核心應(yīng)用系統(tǒng)發(fā)生得影響其正常運行得事件(包含關(guān)聯(lián)事件)通稱為安全事件,而圍繞安全事件、運維人員與信息資產(chǎn),依據(jù)具體流程而展開監(jiān)控、告警、響應(yīng)、評估等運行維護(hù)活動,稱為安全運維服務(wù)。 目前，大多數(shù)企業(yè)還停留在被動得、傳統(tǒng)意義上得安全運維服務(wù),這樣安全運維服務(wù)存在著以下弊端: ）、出現(xiàn)故障縱有眾多單一得廠商管理工具,但無法迅速定位安全事件,忙于"

8、救火'，卻又不知火因何而"著'。時時處于被動服務(wù)之中，無法提供量化得服務(wù)質(zhì)量標(biāo)準(zhǔn)。 2)、企業(yè)得信息系統(tǒng)管理仍在依靠各自得"業(yè)務(wù)骨干'支撐,缺少相應(yīng)得流程與知識積累,過多依賴于人。 3)、對安全事件缺少關(guān)聯(lián)性分析與評估分析,并且沒有對安全事件定義明確得處理流程,更多得就是依靠人得經(jīng)驗與責(zé)任心,缺少必要得審核與工具得支撐。 正就是因為目前運維服務(wù)中存在得弊端,xx 股份有限公司依靠長期從事應(yīng)用平臺信息系統(tǒng)運維服務(wù)得經(jīng)驗,同時結(jié)合信息安全保障體系建設(shè)中運維體系建設(shè)得要求,遵循(最佳實踐指導(dǎo))、ioiec 200 系列服務(wù)標(biāo)準(zhǔn)、以及中國移動公司管理支撐系統(tǒng)

9、soa 規(guī)范等相關(guān)標(biāo)準(zhǔn),建立了一整套完善與切實可行得信息安全運維服務(wù)管理得建設(shè)方案。 8 、3 、3 xx 股份運維五大架構(gòu)體系 、 、3 、1 建立安全運維監(jiān)控中心 基于關(guān)鍵業(yè)務(wù)點面向業(yè)務(wù)系統(tǒng)可用性與業(yè)務(wù)連續(xù)性進(jìn)行合理布控與監(jiān)測,以關(guān)鍵績效指標(biāo)指導(dǎo)與考核信息系統(tǒng)運行質(zhì)量與運維管理工作得實施與執(zhí)行,xx 股份幫助用戶建立全面覆蓋信息系統(tǒng)得監(jiān)測中心，并對各類事件做出快速、準(zhǔn)確得定位與展現(xiàn)。實現(xiàn)對信息系統(tǒng)運行動態(tài)得快速掌握,以及運行維護(hù)管理過程中得事前預(yù)警、事發(fā)時快 速定位。其主要包括: 1、集中監(jiān)控：采用開放得、遵循國際標(biāo)準(zhǔn)得、可擴(kuò)展得架構(gòu),整合各類監(jiān)控管理工具得監(jiān)控信息，實現(xiàn)對信息資產(chǎn)得集中監(jiān)

10、視、查瞧與管理得智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控得主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機(jī)、中間件、數(shù)據(jù)庫與核心應(yīng)用系統(tǒng)等。 2、綜合展現(xiàn):合理規(guī)劃與布控，整合來自各種不同得監(jiān)控管理工具與信息源,進(jìn)行標(biāo)準(zhǔn)化、歸一化得處理,并進(jìn)行過濾與歸并，實現(xiàn)集中、綜合得展現(xiàn)。 3、快速定位與預(yù)警：經(jīng)過同構(gòu)與歸并得信息,將依據(jù)預(yù)先配置得規(guī)則、事件知識庫、關(guān)聯(lián)關(guān)系進(jìn)行快速得故障定位,并根據(jù)預(yù)警條件進(jìn)行預(yù)警。 8 、3 、 建立安全運維告警中心 基于規(guī)則配置與自動關(guān)聯(lián),實現(xiàn)對監(jiān)控采集、同構(gòu)、歸并得信息得智能關(guān)聯(lián)判別,并綜合得展現(xiàn)信息系統(tǒng)中發(fā)生得預(yù)警與告警事件,幫助運維管理人員快速定位、排查問題所在。 同時，告警

11、中心提供了多種告警響應(yīng)方式,內(nèi)置與事件響應(yīng)中心得工單與預(yù)案處理接口,可依據(jù)事件關(guān)聯(lián)與響應(yīng)規(guī)則得定義,觸發(fā)相應(yīng)得預(yù)案處理,實現(xiàn)運維管理過程中突發(fā)事件與問題處理得自動化與智能化。 關(guān)于事件基礎(chǔ)庫維護(hù):它就是事件知識庫得基礎(chǔ)定義,內(nèi)置大量得標(biāo)準(zhǔn)事件，按事件類型進(jìn)行合理劃分與維護(hù)管理,可基于事件名稱與 事件描述信息進(jìn)行歸一化處理得配置,定義了多源、異構(gòu)信息得同構(gòu)規(guī)則與過濾規(guī)則。 關(guān)于智能關(guān)聯(lián)分析:它就是借助基于規(guī)則得分析算法，對獲取得各類信息進(jìn)行分析,找到信息之間得邏輯關(guān)系,結(jié)合安全事件產(chǎn)生得網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度,對安全事件進(jìn)行深度分析，消除安全事件得誤報與重復(fù)報警。 關(guān)于綜合查詢與展現(xiàn):它實現(xiàn)了多

12、種視角得故障告警信息與業(yè)務(wù)預(yù)警信息得查詢與集中展現(xiàn)。 關(guān)于告警響應(yīng)與處理:它提供了事件生成、過濾、短信告警、郵件告警、自動派發(fā)工單、啟動預(yù)案等多種響應(yīng)方式,內(nèi)置監(jiān)控界面得圖形化告警方式;提供了與事件響應(yīng)中心得智能接口,可基于事件關(guān)聯(lián)響應(yīng)規(guī)則自動生成工單并觸發(fā)相應(yīng)得預(yù)案工作流進(jìn)行處理。 8 、 、3 、 建立安全運維事件響應(yīng)中心 借鑒并融合了 itil(信息系統(tǒng)基礎(chǔ)設(shè)施庫）/sm(it 服務(wù)管理）得先進(jìn)管理規(guī)范與最佳實踐指南,借助工作流模型參考等標(biāo)準(zhǔn),開發(fā)圖形化、可配置得工作流程管理系統(tǒng),將運維管理工作以任務(wù)與工作單傳遞得方式,通過科學(xué)得、符合用戶運維管理規(guī)范得工作流程進(jìn)行處置,在處理過程中實現(xiàn)

13、電子化得自動流轉(zhuǎn),無需人工干預(yù)，縮短了流程周期,減少人工錯誤,并實現(xiàn)對事件、問題處理過程中得各個環(huán)節(jié)得追蹤、監(jiān)督與審計。其中包括以下五大方面： 、圖形化得工作流建模工具:實現(xiàn)預(yù)案建模得圖形化管理,簡單 易用得預(yù)案流程得創(chuàng)建與維護(hù)，簡潔得工作流仿真與驗證。 2可配置得預(yù)案流程:所有運維管理流程均可由用戶自行配置定義,即可實現(xiàn) iil/ism 得主要運維管理流程，又可根據(jù)用戶得實際管理要求與規(guī)范,配置個性化得任務(wù)、事件處理流程。 3、智能化得自動派單:智能得規(guī)則匹配與處理,基于用戶管理規(guī)范得自動處理,降低事件、任務(wù)發(fā)起到處理得延時,以及人工派發(fā)得誤差。 、全程得事件處理監(jiān)控：實現(xiàn)對事件響應(yīng)處理全過

14、程得跟蹤記錄與監(jiān)控,根據(jù) iil 管理建議與用戶運維要求,對事件處理得響應(yīng)時限與處理時限得監(jiān)督與催辦。 5、事件處理經(jīng)驗得積累:實現(xiàn)對事件處理過程得備案與綜合查詢，幫助用戶在處理事件時查找歷史處理記錄與流程,為運維管理工作積累經(jīng)驗。 8 、3 、3 、4 建立安全運維審核評估中心 安全運維審核評估中心具有對信息系統(tǒng)運行質(zhì)量、服務(wù)水平、運維管理工作績效得綜合評估、考核、審計管理三大功能。 1、評估功能:遵循國際與工業(yè)標(biāo)準(zhǔn)及指南建立平臺得運行質(zhì)量評估框架,通過評估模型使用戶了解運維需求、認(rèn)知運行風(fēng)險、采取相應(yīng)得保護(hù)與控制,有效得保證信息系統(tǒng)得建設(shè)投入與運行風(fēng)險得平衡,系統(tǒng)地保證信息化建設(shè)得投資效益

15、,提高關(guān)鍵業(yè)務(wù)應(yīng)用得連續(xù)性。 2、考核功能:在評價過程中避免主觀臆斷與片面隨意性,可以實現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等得一種客觀評價功能。 3、審計功能:就是以跨平臺多數(shù)據(jù)源信息安全審計為框架,以電子數(shù)據(jù)處理審計為基礎(chǔ)得信息審計系統(tǒng)。主要包括:系統(tǒng)流程與輸入輸出數(shù)據(jù)以及數(shù)據(jù)接口得完整性、合規(guī)性、有效性、真實性審計。 、3 、3 、5 以信息資產(chǎn)管理為核心 it 資產(chǎn)管理就是全面實現(xiàn)信息系統(tǒng)運行維護(hù)管理得基礎(chǔ)，提供得豐富得 it 資產(chǎn)信息屬性維護(hù)與備案管理,以及對業(yè)務(wù)應(yīng)用系統(tǒng)得備案與配置管理。 基于關(guān)鍵業(yè)務(wù)點配置關(guān)鍵業(yè)務(wù)得基礎(chǔ)設(shè)施關(guān)聯(lián),通過資產(chǎn)對象信息配置豐富業(yè)務(wù)應(yīng)用系統(tǒng)得運行維護(hù)內(nèi)容

16、,實現(xiàn)各類 it 基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務(wù)得有機(jī)結(jié)合,以及全面得綜合監(jiān)控。這其中包括: 綜合運行態(tài)勢:就是全面整合現(xiàn)有各類設(shè)備與系統(tǒng)得各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)與終端管理中各種事件,經(jīng)過分析后得綜合展現(xiàn)界面,注重對信息系統(tǒng)得運行狀態(tài)、綜合態(tài)勢得宏觀展示。 系統(tǒng)采集管理:以信息系統(tǒng)內(nèi)各種 i資源及各個核心業(yè)務(wù)系統(tǒng)得監(jiān)控管理為主線,采集相關(guān)異構(gòu)監(jiān)控系統(tǒng)得信息,通過對不同來源得信息數(shù)據(jù)得整合、同構(gòu)、規(guī)格化處理、規(guī)則匹配,生成面向運行維護(hù)管理得事件數(shù)據(jù),實現(xiàn)信息得共享與標(biāo)準(zhǔn)化。 系統(tǒng)配置管理:從系統(tǒng)容錯、數(shù)據(jù)備份與恢復(fù)與運行監(jiān)控三個方面著手建立自身得運行維護(hù)體系,采用平臺監(jiān)測器實時監(jiān)

17、測、運行檢測工具主動檢查相結(jié)合得方式,構(gòu)建一個安全穩(wěn)定得系統(tǒng)。 8 、3 、6 安全管理原則 1)、xx 股份有限公司負(fù)責(zé)業(yè)務(wù)支撐中心得安全、保密管理工作,遵守南方基地已有各項安全規(guī)定,以此為基礎(chǔ)制定詳細(xì)得安全管理實施辦法,并采取適當(dāng)措施保證有關(guān)措施得有效執(zhí)行。 2)、x 股份有限公司定期檢查安全、保密規(guī)定得執(zhí)行情況; )、x 股份有限公司定期組織系統(tǒng)病毒檢查，并對此負(fù)責(zé); 4)、xx 股份有限公司及時向信息技術(shù)中心反映存在得安全隱患。 8 、3 、3 、7 保密原則 1）、xx 股份嚴(yán)格遵守南方基地各項安全保密制度，加強(qiáng)服務(wù)工程師得保密意識,制定有效得管理制度。 )、xx 股份整理措施與技術(shù)

18、措施，防止重要數(shù)據(jù)、文件、資料得丟失及泄漏。 3）、xx 股份有關(guān)計費清單、用戶資料、業(yè)務(wù)數(shù)據(jù)、重要文件等均屬機(jī)密，不得任意抄錄、復(fù)制及帶出機(jī)房,也不得轉(zhuǎn)告與工作無關(guān)得人員。 4)、機(jī)房內(nèi)重要文件、數(shù)據(jù)文件得銷毀方式為文件送入碎紙機(jī),不得隨意丟棄。 5）、安全保密工作 xx 股份安排專人負(fù)責(zé)，定期向 x信息技術(shù)中心提交安全工作報告。 8 、3 、4 信息 安全得要求 8 、3 、4 、 帳號口令管理 Ø 賬號口令管理要求 按照"誰主管,誰負(fù)責(zé)'原則，業(yè)務(wù)系統(tǒng)責(zé)任部門負(fù)責(zé)按照本辦法管理公司內(nèi)部人員及第三方協(xié)維人員在系統(tǒng)應(yīng)用層得帳號。 由公司各部門分別維護(hù)管理操作系統(tǒng)層

19、與應(yīng)用層得系統(tǒng)，并分別作為各層帳號得管理部門。 各層帳號管理部門各自負(fù)責(zé)本部門職責(zé)層面內(nèi)得帳號審批及授權(quán)管理,推動制定帳號審批流程、表格模版等并落實責(zé)任人,監(jiān)督落實帳號申請表、用戶帳號登記表得維護(hù)管理。 各層帳號管理部門各自負(fù)責(zé)本部門職責(zé)層面內(nèi)得帳號審批、創(chuàng)建及刪除、權(quán)限管理以及口令管理要求執(zhí)行情況審核機(jī)制,接受定期審核。 用戶需按照帳號審批流程向各責(zé)任部門申請所需帳號、修改權(quán)限或者撤銷帳號。在帳號審批成功并創(chuàng)建后,應(yīng)對帳號口令進(jìn)行定期修改。并應(yīng)做到嚴(yán)格保護(hù)帳號口令,不得故意泄露,否則需承擔(dān)由此導(dǎo)致安全問題得責(zé)任。 Ø 帳號管理人員邏輯分類 崗位 職責(zé) 涉及相關(guān)記錄 部門負(fù)責(zé)人 1、

20、需對相關(guān)授權(quán)表進(jìn)行審批授權(quán)簽字,每季度需復(fù)核審批； 2、需對員工變動情況進(jìn)行審批； 3、需對遠(yuǎn)程維護(hù)接入申請進(jìn)行審批 系統(tǒng)層/應(yīng)用層超級管理員: 1、 系統(tǒng)層超級管理員：按各系統(tǒng)進(jìn)行設(shè)置 2、 應(yīng)用層超級管理員:按業(yè)務(wù)應(yīng)用管理進(jìn)行設(shè)置 系統(tǒng)應(yīng)用程序最高權(quán)限管理員，負(fù)責(zé)管理所轄系統(tǒng)得帳號分配與管理,需要部門負(fù)責(zé)人對其進(jìn)行授權(quán)。 系統(tǒng)層超級管理員、應(yīng)用層超級管理員需由部門領(lǐng)導(dǎo)分別進(jìn)行授權(quán),不同系統(tǒng)可以兼任。 系統(tǒng)層/應(yīng)用層普通用戶: 系統(tǒng)維護(hù)、應(yīng)用操作執(zhí)行人員，為普通維護(hù)人員及第三方人員,只能申請自身帳號進(jìn)行操作，不能進(jìn)行帳號分配管理。 安全管理員、安全審計員: 負(fù)責(zé)所轄各系統(tǒng)及設(shè)備得信息安全管理

21、工作。每月檢查信息安全管理得執(zhí)行情況,匯總安全分析報告;與系統(tǒng)層超級管理員、應(yīng)用層管理員需職責(zé)分離。 Ø 超級管理員帳號管理流程 管理流程 管理要求 管理流程 管理要求 各業(yè)務(wù)系統(tǒng)層應(yīng)用層超級管理員由 申請人填寫系統(tǒng)超級管理員授權(quán)表。 部門經(jīng)理審批并進(jìn)行授權(quán)。 授權(quán)有效期內(nèi), 部門經(jīng)理對超級管理員得清單進(jìn)行復(fù)核并簽字確認(rèn)。 Ø 內(nèi)部帳號創(chuàng)建變更流程 管理流程 管理要求 開 始 申請人填寫超級管理員授權(quán)表 審批并授權(quán) 對系統(tǒng)超級管理員清單每季度進(jìn)行復(fù)核并簽字確認(rèn)。 授權(quán)有效期內(nèi) 管理流程 管理要求 內(nèi)部員工需要增加帳號或進(jìn)行權(quán)限變更時，由 申請人填寫系統(tǒng)帳號創(chuàng)建變更申請表。

22、提交所在 部門負(fù)責(zé)人進(jìn)行權(quán)限職責(zé)相容性審核。 申請部門完成審核后，轉(zhuǎn)發(fā)系統(tǒng)責(zé)任 部門負(fù)責(zé)人進(jìn)行書面審批。 書面審批通過，由 系統(tǒng)超級管理員在系統(tǒng)中創(chuàng)建帳號或進(jìn)行權(quán)限修改。 Ø 第三方帳號管理流程 管理流程 管理要求 開 始 申請人填寫系統(tǒng)帳號創(chuàng)建/變更申請表 申請人部門負(fù)責(zé)人審核 系統(tǒng)管理員在系統(tǒng)中創(chuàng)建帳號或進(jìn)行權(quán)限修改。 系統(tǒng)責(zé)任部門負(fù)責(zé)人 書面審批 管理流程 管理要求 如存在第三方公司人員需要建立帳號得情況，應(yīng)與 第三方廠商簽訂相關(guān)得安全保密協(xié)議。保密協(xié)議應(yīng)注明擁有帳號列表及相關(guān)保密責(zé)任,以合理確保第三方廠商能夠執(zhí)行中國移動得安全管理要求與職責(zé)不相容要求。 第三方公司需要增加普通

23、帳號或進(jìn)行權(quán)限變更時,由 合作引入部門填寫系統(tǒng)帳號創(chuàng)建/變更申請表。 提交所在 部門負(fù)責(zé)人進(jìn)行權(quán)限職責(zé)相容性審核。 申請部門完成審核后,轉(zhuǎn)發(fā)系統(tǒng)責(zé)任 部門負(fù)責(zé)人進(jìn)行書面審批后。 系統(tǒng)超級管理員在系統(tǒng)中創(chuàng)建帳號或進(jìn)行權(quán)限修改 。 Ø 系統(tǒng)預(yù)設(shè)帳號管理流程 管理流程 管理要求 開 始 與第三方廠商簽訂安全保密協(xié)議。 合作引入部門填寫系統(tǒng)帳號創(chuàng)建/變更申請表 系統(tǒng)管理員在系統(tǒng)中創(chuàng)建帳號或進(jìn)行權(quán)限修改。 部門負(fù)責(zé)人審核 系統(tǒng)責(zé)任部門負(fù)責(zé)人 書面審批 管理流程 管理要求 對于部分因系統(tǒng)、接口原因在系統(tǒng)中預(yù)設(shè)得用戶帳號,系統(tǒng)責(zé)任 部門應(yīng)對接口程序、腳本或相關(guān)設(shè)置進(jìn)行加密保存,禁止使用簡單密碼。

24、因系統(tǒng)原因不能進(jìn)行加密保存得, 系統(tǒng)管理員需提交預(yù)設(shè)帳號清單及使用人員清單。 系統(tǒng)責(zé)任 部門負(fù)責(zé)人進(jìn)行書面審批授權(quán)。 系統(tǒng)責(zé)任 部門負(fù)責(zé)人每季度進(jìn)行復(fù)核簽字確認(rèn),如發(fā)現(xiàn)多余或不恰當(dāng)?shù)觅~號應(yīng)進(jìn)行及時調(diào)整。 8 、3 、4 、2 系統(tǒng)基線配置安全管理 Ø 基線配置安全要求 依據(jù)管理信息系統(tǒng)安全基線規(guī)范、0等管理規(guī)范與要求,公司各業(yè)務(wù)平臺操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器中間件、帳號權(quán)限分配與配置策略、防火墻需按照該規(guī)范進(jìn)行配置。 開 始 對接口程序、腳本或相關(guān)設(shè)置進(jìn)行加密保存,禁止使用簡單密碼。 系統(tǒng)管理員提交預(yù)設(shè)帳號清單及使用人員清單。 系統(tǒng)責(zé)任部門負(fù)責(zé)人對預(yù)設(shè)帳號清單每季度進(jìn)行復(fù)核并簽字確認(rèn)。

25、 系統(tǒng)責(zé)任部門負(fù)責(zé)人進(jìn)行書面審批授權(quán)。 定期組織相關(guān)檢查人員按時對各業(yè)務(wù)系統(tǒng)進(jìn)行安全基線配置檢查，對檢查中存在風(fēng)險得系統(tǒng)發(fā)出整改通知書，督促其及時進(jìn)行整改,并根據(jù)整改反饋進(jìn)行復(fù)查，對業(yè)務(wù)系統(tǒng)上線前進(jìn)行基線配置安全檢查工作,存在有安全風(fēng)險得系統(tǒng)必須進(jìn)行限期整改,驗收合格后才能上線。 Ø 基線配置安全檢查流程 管理流程 管理要求 信息安全管理部門按工作計劃發(fā)起基線安全檢查流程并 oa 通知具體系統(tǒng)負(fù)責(zé)人 各系統(tǒng)責(zé)任人收到 oa 郵件后,協(xié)調(diào)安排配合人員進(jìn)行現(xiàn)場配合 信息安全管理部門根據(jù)檢查結(jié)果,對存在風(fēng)險得系統(tǒng)發(fā)出整改通知，系統(tǒng)責(zé)任人收到整改通知后安排對風(fēng)險進(jìn)行整改加固,并反饋整改情況,

26、信息安全管理部門收到反饋結(jié)果組織復(fù)查。 8 、3 、3 系統(tǒng)漏洞安全管理 Ø 系統(tǒng)漏洞安全要求 定期對公司各生產(chǎn)系統(tǒng)進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫、中間件、w開 始 信息安全管理部門發(fā)起基線配置安全檢查(復(fù)查)流程 各業(yè)務(wù)系統(tǒng)負(fù)責(zé)人協(xié)調(diào)人員進(jìn)行現(xiàn)場配合 存在風(fēng)險得系統(tǒng)根據(jù)整改通知進(jìn)行整改加固 網(wǎng)站等進(jìn)安全漏洞檢查,對檢查中存在漏洞得系統(tǒng)發(fā)出整改通知書,督促其及時進(jìn)行整改,并根據(jù)整改反饋進(jìn)行復(fù)查,對業(yè)務(wù)系統(tǒng)上線前進(jìn)行系統(tǒng)漏洞安全檢查工作,存在有安全風(fēng)險得系統(tǒng)必須進(jìn)行整改驗收后才能上線。 Ø 系統(tǒng)漏洞安全檢查流程 管理流程 管理要求 信息安全管理部門按工作計劃發(fā)起系統(tǒng)漏洞安全檢查流程并

27、o通知具體系統(tǒng)負(fù)責(zé)人 各系統(tǒng)責(zé)任人收到 oa 郵件后,協(xié)調(diào)安排配合人員進(jìn)行現(xiàn)場配合 信息安全管理部門根據(jù)檢查結(jié)果,對存在漏洞得系統(tǒng)發(fā)出整改通知,系統(tǒng)責(zé)任人收到整改通知后安排對風(fēng)險進(jìn)行整改加固,并反饋整改情況,信息安全管理部門收到反饋結(jié)果組織復(fù)查。 8 、3 、4 、 終端安全管理 Ø 終端安全管理要求 終端安全策略配置項應(yīng)滿足以下要求: 1)、終端統(tǒng)一命名，統(tǒng)一采用"公司+人員姓名'中文方式。 開 始 信息安全管理部門發(fā)起系統(tǒng)漏洞安全檢查(復(fù)查)流程 存在風(fēng)險得系統(tǒng)根據(jù)整改通知進(jìn)行整改加固 各業(yè)務(wù)系統(tǒng)負(fù)責(zé)人協(xié)調(diào)人員進(jìn)行現(xiàn)場配合 2)、系統(tǒng)標(biāo)準(zhǔn)化管理,統(tǒng)一使用正版軟件

28、，禁止安裝盜版。 3)、密碼策略,按照公司帳號管理辦法設(shè)置復(fù)雜度策略。 4)、配置帳戶鎖定策略,要求設(shè)置鎖定次數(shù)為次以下。 )、禁用匿名訪問網(wǎng)絡(luò)。 6)、設(shè)置系統(tǒng)屏保密碼,同時設(shè)定 10 分鐘以內(nèi)得鎖定策略。 7)、審計策略,開啟所有審計策略。 8)、要求安裝殺毒軟件并及時進(jìn)行病毒庫更新。 9)、要求統(tǒng)一安裝公司采購得終端監(jiān)控軟件。 Ø 終端安全配置檢查流程 管理流程 管理要求 信息安全管理部門按工作計劃發(fā)起辦公終端安全檢查流程并 o通知具體檢查部門 各部門員工（含合作伙伴）配合進(jìn)行終端安全檢查。 檢查人員對存在不合規(guī)項得終端進(jìn)行設(shè)置,以滿足安全管理要求。 開 始 信息安全管理部門發(fā)

29、起終端安全檢查(復(fù)查)流程 對存在不合規(guī)得終端進(jìn)行設(shè)置,以滿足安全管理要求 各部門員工(含合作伙伴)配合進(jìn)行安全檢查 8 、3 、5 安全審計管理 Ø 安全審計管理要求 事件日志記錄：將來自不同區(qū)域、不同設(shè)備、不同系統(tǒng)得日志信息集中起來,集中分析處理，創(chuàng)建記錄異常事件與安全相關(guān)事件得審計日志并按照協(xié)商認(rèn)可得保留期限將其保留一段時間。 1)、審計日志必須至少包含 4(whowhen/wher w)要素： 用戶d 或帳號。 操作日期與時間。 終端標(biāo)識或位置。 用戶所進(jìn)行得操作。 系統(tǒng)得成功訪問與拒絕訪問得記錄。 數(shù)據(jù)與其它資源得成功訪問與拒絕訪問記錄。 2)、日志審計類型 網(wǎng)絡(luò)類日志(鑒

30、權(quán)平臺、網(wǎng)絡(luò)設(shè)備日志) 主機(jī)類日志(主機(jī)本身日志) 應(yīng)用類日志（交換機(jī)、智能網(wǎng)等應(yīng)用系統(tǒng)日志) 安全類日志(ids、防火墻等) 3)、所有特權(quán)操作 新帳戶得創(chuàng)建。 用戶權(quán)限升級、口令更改。 配置得更改。 系統(tǒng)文件得刪除。 系統(tǒng)啟動與停止。 i/ 設(shè)備連接/分離。 端口開啟 進(jìn)程啟動等 4)、對應(yīng)記錄 用戶 i。 地址：包括目標(biāo)與源 ip 重要事件得日期與時間。 事件類型。 所訪問得文件或資源。 所用程序/實用程序。 所進(jìn)行得操作或操作結(jié)果。 Ø 安全審計流程 工作流程 工作要求/ 標(biāo)準(zhǔn) 崗位 職責(zé) f 各業(yè)務(wù)系統(tǒng)安全監(jiān)控審計人員監(jiān)控系統(tǒng)中產(chǎn)生得事件 f 系統(tǒng)管理員 f 負(fù)責(zé)系統(tǒng)得日常

31、監(jiān)控維護(hù)與日志分析 f 當(dāng)檢測到需處理事件時應(yīng)及時進(jìn)行處理 f 系統(tǒng)管理員 f 安全管理員 f 發(fā)現(xiàn)安全事件時，系統(tǒng)管理員通過任務(wù)工單向安全管理員及時匯報; f 安全管理員接到事件報告時，要及時進(jìn)行分析定性,決定后續(xù)處理措施。 開 始 安全監(jiān)控 檢測到需及時處理安全事件 工作流程 工作要求/ 標(biāo)準(zhǔn) 崗位 職責(zé) f 聯(lián)系設(shè)備廠商、服務(wù)廠商,及時對事件進(jìn)行分析處理,處理內(nèi)容包括:確定危險程度，實施控制措施，恢復(fù)系統(tǒng),確定來源,收集數(shù)據(jù)取證等。 f 如果事件對網(wǎng)絡(luò)或系統(tǒng)造成重大影響,應(yīng)啟動事后分析流程。 f 廠商人員、服務(wù)商（如需要); f 系統(tǒng)管理員; f 安全管理員 f 如有必要，系統(tǒng)管理員負(fù)責(zé)

32、通知廠商、服務(wù)商到場 f 廠商、服務(wù)商如接到安全事件通知,需及時到場,將分析結(jié)果與處理建議提交安全管理員； f 安全管理員需審核廠商提交得安全事件處理建議;重大安全事件需及時向上級管理人員匯報; f 系統(tǒng)管理員配合廠商進(jìn)行安全建議得實施。 f 填寫事件分析處理記錄存檔。報告應(yīng)包含已經(jīng)采取得防護(hù)措施得詳細(xì)情況與其她任何經(jīng)驗教訓(xùn)（例如用來預(yù)防相同或類似事件再次發(fā)生得進(jìn)一步防護(hù)措施) f 廠商人員、服務(wù)商 f 系統(tǒng)管理員 f 安全管理員 f 處理人員需填寫事件分析處理報告 f 安全管理員需審核并簽署處理結(jié)果 、4 、6 客戶信息安全管理 Ø 客戶信息安全管理要求 各系統(tǒng)管理員應(yīng)明確識別各系

33、統(tǒng)中存儲、傳輸?shù)每蛻粲嘘P(guān)信息，并具體標(biāo)注需要保護(hù)得客戶信息類型,對于各相關(guān)系統(tǒng)中得客戶信息,未經(jīng)授權(quán)許可不得查詢，更不能用于公司合法運營之外得其它商業(yè)用途。 實時處理 存檔 結(jié) 束 禁止在相關(guān)系統(tǒng)中運行與業(yè)務(wù)無關(guān)得其它程序，尤其就是可能自動獲取用戶資料得程序。 按照最小化原則配置賬戶權(quán)限,保證對客戶信息得訪問不得超過本身工作范圍。對于訪問相關(guān)系統(tǒng)得用戶,能直接獲得客戶信息得,必須經(jīng)過授權(quán),未經(jīng)授權(quán)得用戶不得訪問該系統(tǒng)。 對涉及客戶信息相關(guān)操作,嚴(yán)格按照"金庫模式'實施指導(dǎo)意見要求執(zhí)行，對業(yè)務(wù)系統(tǒng)涉及客戶身份資料、位置信息、通話詳單、充值記錄等高價值信息得高風(fēng)險操作納入金庫管控

34、。 各系統(tǒng)在信息獲取、處理、存儲、消除各環(huán)節(jié)保護(hù)客戶信息得完整性、保密性、可用性，具備但不限于如下功能： 1)、客戶信息存儲時應(yīng)具備相應(yīng)得安全要求,包括存儲位置、存儲方式等,對于重要得客戶信息,應(yīng)根據(jù)系統(tǒng)實際情況提供必要得加密手段。 2)、應(yīng)具備完善得權(quán)限管理策略,支持權(quán)限最小化原則、合理授權(quán)，對不能支持此原則得系統(tǒng),應(yīng)減少掌握該權(quán)限得人員數(shù)量,并加強(qiáng)人員管理。 3)、具備完整得用戶訪問、處理、刪除客戶信息得操作記錄能力,以備審計。 新建系統(tǒng)必須滿足本要求,對于不支持本要求得已建系統(tǒng),應(yīng)根據(jù)實際情況在系統(tǒng)升級中進(jìn)行改造。 4)、在傳輸客戶信息時,經(jīng)過不安全網(wǎng)絡(luò)得（例如 internt 網(wǎng)),需

35、要對傳輸?shù)每蛻粜畔⑻峁┘用芘c完整性校驗 8 、3 、4 、7 業(yè)務(wù)安全管理 加強(qiáng)業(yè)務(wù)內(nèi)容安全監(jiān)控,加強(qiáng)對業(yè)務(wù)內(nèi)容源引入、內(nèi)容提供/發(fā)布、內(nèi)容傳播等環(huán)節(jié)得審核與監(jiān)控,并建立與完善內(nèi)容安全事件得應(yīng)急處理機(jī)制，確保業(yè)務(wù)內(nèi)容提供得健康、合法。 提高業(yè)務(wù)計費安全控制,加強(qiáng)對業(yè)務(wù)計費流程得梳理,嚴(yán)防計費問題得出現(xiàn)。針對、短信等不同業(yè)務(wù)訂購方式，分別采用有效手段,防止業(yè)務(wù)計費點被套用；確保建立與完善業(yè)務(wù)信息費異常監(jiān)控技術(shù)手段,及時發(fā)現(xiàn)計費安全問題;對代收費業(yè)務(wù)應(yīng)進(jìn)行定期撥測,發(fā)現(xiàn)問題及時處理。 增強(qiáng)業(yè)務(wù)系統(tǒng)外部接口安全防護(hù),高度重視與外部系統(tǒng)有交互接口得業(yè)務(wù)平臺得安全風(fēng)險，確保交互協(xié)議設(shè)計得安全可靠。加強(qiáng)對

36、外部交互協(xié)議與接口得撥測,及時發(fā)現(xiàn)存在得安全問題。在業(yè)務(wù)系統(tǒng)建設(shè)過程中應(yīng)在業(yè)務(wù)系統(tǒng)與外部平臺之間規(guī)劃部署防火墻、流量監(jiān)控等安全管控措施。 完善業(yè)務(wù)使用流程與制度相關(guān)自，加強(qiáng)對業(yè)務(wù)訂購、業(yè)務(wù)認(rèn)證、業(yè)務(wù)使用、業(yè)務(wù)退訂等各環(huán)節(jié)流程得審核與監(jiān)控，及時發(fā)現(xiàn)安全問題。對業(yè)務(wù)訂購、變更、退訂要提供準(zhǔn)確得核實與確認(rèn)機(jī)制，對業(yè)務(wù)認(rèn)證要重點關(guān)注敏感認(rèn)證數(shù)據(jù)加密、認(rèn)證算法強(qiáng)度與認(rèn)證失敗次數(shù)控制等。 加強(qiáng)對互聯(lián)網(wǎng)營銷渠道得安全監(jiān)控，采取黑白.、動態(tài)碼驗證等技術(shù)手段防止?fàn)I銷渠道惡意盜鏈，建立完善得撥測機(jī)制,監(jiān)控違規(guī)情況。針對第三方營銷渠道,禁止層層轉(zhuǎn)包,并定期進(jìn)行營銷規(guī)范性撥 測,發(fā)現(xiàn)違規(guī)情況及時處理。 業(yè)務(wù)平臺運維從

37、系統(tǒng)、人員、第三方管理等方面,加強(qiáng)業(yè)務(wù)平臺得運維安全管控,防止業(yè)務(wù)運維中出現(xiàn)安全隱患。增強(qiáng)業(yè)務(wù)系統(tǒng)自身得訪問控制，嚴(yán)格限制運維人員得帳號、權(quán)限,確保權(quán)限、角色相符合;加強(qiáng)對運維人員得安全意識與技能培訓(xùn),提高安全運維能力。 8 、4 、8 安全 檢查與維護(hù)作業(yè) 按照規(guī)范要求,定期進(jìn)行信息安全檢查，形成匯報材料并進(jìn)行內(nèi)部通報。檢查應(yīng)包括但不限于以下內(nèi)容, 1)、每月進(jìn)行 1 次檢查生產(chǎn)終端及網(wǎng)絡(luò)接入情況。 2)、平均每 2 個月完成 1 次全量得系統(tǒng)漏洞掃描,并且完成系統(tǒng)帳號弱口令安全檢查工作。 )、每月完成 1 次全量 web 漏洞掃描,每半月完成次重要 web 網(wǎng)站漏洞掃描。 ）、針對割接變更

38、得業(yè)務(wù)系統(tǒng)，每月進(jìn)行 1 檢查安全基線配置情況。 5）、每月出具 1 次安全審計月報。 6)、每季度定期抽檢要害人員保密協(xié)議、第三方保密協(xié)議、信息安全承諾書、要害人員保密協(xié)議簽署備案情況。 7）、每季度定期抽檢業(yè)務(wù)系統(tǒng)業(yè)務(wù)流程制定與執(zhí)行、信息發(fā)布與審核等情況。 8）、每季度定期抽檢新建系統(tǒng)上線安全驗收情況。 )、針對重大專項安全保障工作,根據(jù)專項工作得具體要求，信息安 全組負(fù)責(zé)制定專項得安全保障工作安排,其中包括：內(nèi)容安全保障、業(yè)務(wù)安全保障、系統(tǒng)與網(wǎng)絡(luò)安全保障、客戶信息安全保障、第三方保障，并組織基地各部門開展各項安全檢查工作。 、3 、5 it 運維服務(wù)范圍 it 運維就是 it 管理得核心

39、與重點部分,也就是內(nèi)容最多、最繁雜得部分,該階段主要用于 it 部門內(nèi)部日常運營管理，涉及得對象分成兩大部分,即 it 業(yè)務(wù)系統(tǒng)與運維人員，可細(xì)分為八個子系統(tǒng)： Ø 設(shè)備管理: 對網(wǎng)絡(luò)設(shè)備、主機(jī)、存儲、操作系統(tǒng)運行狀況進(jìn)行監(jiān)控 Ø 應(yīng)用/服務(wù)管理 對各種應(yīng)用支持軟件如數(shù)據(jù)庫、中間件、群件以及各種通用或特定服務(wù)得監(jiān)控管理,如郵件系統(tǒng)、ns、wb 等得監(jiān)控與管理 Ø 數(shù)據(jù)/存儲/容災(zāi)管理 對系統(tǒng)與業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲、備份與恢復(fù) Ø 業(yè)務(wù)管理 對企業(yè)自身核心業(yè)務(wù)系統(tǒng)運行情況得監(jiān)控與管理 Ø 目錄/內(nèi)容管理 主要對于企業(yè)需要統(tǒng)一發(fā)布或因人定制得內(nèi)容管

40、理與對公共信息得管理 Ø 資產(chǎn)管理 管理企業(yè)中各 it 系統(tǒng)得資源資產(chǎn)情況,這些資源資產(chǎn)可以就是物理存 在得,也可以就是邏輯存在得,并能夠與企業(yè)得財務(wù)部門進(jìn)行數(shù)據(jù)交互 Ø 信息安全管理 目前信息安全管理主要依據(jù)得國際標(biāo)準(zhǔn)就是 iso779,該標(biāo)準(zhǔn)涵蓋了信息安全管理得十大控制方面,6 個控制目標(biāo)與27 種控制方式,如企業(yè)安全組織方式、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運營安全、訪問控制、業(yè)務(wù)連續(xù)性管理等 Ø 日常工作管理 主要用于規(guī)范與明確運維人員得崗位職責(zé)與工作安排、提供績效考核量化依據(jù)、提供解決經(jīng)驗與知識得積累與共享手段 8 、3 、6 t 運維與

41、信息安全得關(guān)系 信息安全就是 it 運維得重要組成模塊,對于某些行業(yè)就是關(guān)鍵模塊 Ø it 運維旨在謀求安全性與方便性 Ø 信息安全保障著價值 Ø 信息安全正在創(chuàng)造價值 信息安全與 it 運維共有一個衡量標(biāo)尺:組織業(yè)務(wù)目標(biāo) Ø 業(yè)務(wù)需求驅(qū)動信息安全與t 運維需求 Ø 信息安全與t 運維方案要適應(yīng)業(yè)務(wù)流程 Ø 信息安全與t 運維方案要支撐業(yè)務(wù)得可持續(xù)發(fā)展 Ø 業(yè)務(wù)目標(biāo)得調(diào)整驅(qū)使安全與 i運維得調(diào)整 Ø 投資與企業(yè)戰(zhàn)略、風(fēng)險狀況密切相關(guān) 信息安全貫穿了 it 運維整個生命周期 Ø 信息安全與 it 運維都就是

42、一個過程,而不就是一次事件 Ø 每個 i運維流程都影響著安全得一個或者多個目標(biāo)(、i、) Ø 失去信息安全得 it 運維就是失敗得運維 Ø 信息安全得成熟度模型與 it 運維得標(biāo)桿管理就是吻合得 i運維與信息安全得融合 Ø 信息安全公司試水運維,安全產(chǎn)品強(qiáng)化管理、監(jiān)控功能,支持運維 Ø 運維支持類產(chǎn)品引入安全概念、集成安全技術(shù) Ø 信息安全融入 it 運維流程中 Ø 相關(guān)標(biāo)準(zhǔn)得認(rèn)證工作可以同時進(jìn)行(iso20210/70001） i運維得趨勢彰示著安全得未來 Ø t 運維得標(biāo)準(zhǔn)化符合安全得"縱深防御

43、9;得理念 Ø it 運維得流程化提高了安全得可管理性，為改進(jìn)安全工作提供條件 Ø t 運維得自動化減少了人為失誤,降低了安全得成本 8 、3 、7 云計算 信息安全 云計算就是一種基于 interet 得新興應(yīng)用計算機(jī)技術(shù)，在信息行業(yè)得發(fā)展中占據(jù)著重要得位置，它為互聯(lián)網(wǎng)用戶提供了安全可靠地服務(wù)與計算能力。 其信息安全問題不僅僅就是云計算所要解決得首要問題,也就是決定云計算得發(fā)展前景得關(guān)鍵性因素。 8 、3 、7 、1 云計算得特征 云計算就是在分布式計算、網(wǎng)格計算、并行計算等發(fā)展得基礎(chǔ)上提出得一種計算模型，它面對得就是超大規(guī)模得分布式環(huán)境,核心就是提供數(shù)據(jù)存儲與網(wǎng)絡(luò)服務(wù)。

44、 它具有如下一些特點: Ø 較高得可靠性 云計算采用了計算節(jié)點同構(gòu)可互換、數(shù)據(jù)多副本容錯等分支,因此與本地計算機(jī)相比，其可靠性更高。 Ø 大規(guī)模性 由具備一定規(guī)模得多個結(jié)點組成，系統(tǒng)規(guī)模可以無限大。 Ø 高度得可擴(kuò)展性 可用即插即用得方式方便、快速地增加與減少資源，可擴(kuò)展性與彈性比較高。 Ø 資源共享性 提供一種或多種形式得計算或存儲能力資源池，如物理服務(wù)器,虛擬機(jī)，事物與文件處理能力或任務(wù)進(jìn)程。 Ø 動態(tài)分配 實現(xiàn)資源得自動分配管理，包括資源即時監(jiān)控與自動調(diào)度等，并能夠提供使用量監(jiān)控與管理。 Ø 跨地域 能夠?qū)⒎植加诙鄠€物理地點得資

45、源進(jìn)行整合,提供統(tǒng)一得資源共享,并能在各物理地點間實現(xiàn)負(fù)載均衡。 另外,由于云計算具有低廉得成本及廣闊得應(yīng)用空間，不斷吸引著電信運營商與制造商得關(guān)注。如中國三大電信運營商紛紛開展了云計算得研究與試驗工作,構(gòu)建中國t 支撐云、業(yè)務(wù)云、公眾服務(wù)云,為.提供基于云計算得 it 服務(wù)。 然而,在云計算應(yīng)用發(fā)展中面臨著諸多挑戰(zhàn),如標(biāo)準(zhǔn)化問題、網(wǎng)絡(luò)帶寬問題、安全風(fēng)險問題，其中安全問題被認(rèn)為就是最大得挑戰(zhàn)之一，對于云計算得商業(yè)模式能否成功起著至關(guān)重要得影響。云計算安全出了傳統(tǒng) it 架構(gòu)中得信息安全風(fēng)險外,還包括虛擬化、多租戶技術(shù)帶來得新得業(yè)務(wù)風(fēng)險,導(dǎo)致信息安全風(fēng)險復(fù)雜度升高。 8 、3 、7 、2 云計算

46、九大 安全威脅 ca(clou securi aliance，云計算安全聯(lián)盟)列出了云計算領(lǐng)域得個安全威脅。 Ø 1、數(shù)據(jù)泄露 為了表明數(shù)據(jù)泄露對企業(yè)得危害程度,csa在報告中提到了一篇研究文章，該文章描述了黑客如何利用邊信道(de-hannel)時間信息，通過侵入一臺虛擬機(jī)來獲取同一服務(wù)器上得其她虛擬機(jī)所使用得私有密鑰。不過,其實不懷好意得黑客未必需要如此煞費苦心,就能確保這種攻擊得逞。要就是多租戶云服務(wù)數(shù)據(jù)庫設(shè)計不當(dāng),哪怕某一個用戶得應(yīng)用程序只存在一個漏洞，都可以讓攻擊者獲取這個用戶得數(shù)據(jù),而且還能獲取其她用戶得數(shù)據(jù)。 要應(yīng)對數(shù)據(jù)丟失與數(shù)據(jù)泄露方面得威脅,難就難在其有可能造成 &

47、quot;拆東墻補(bǔ)西墻'般得效果。s報告認(rèn)為:"您落實到位得措施可能可以緩解一種威脅,但就是會加大遭遇另一種威脅得風(fēng)險。'用戶可以對數(shù)據(jù)進(jìn)行加密,以減小泄露得風(fēng)險，不過一旦用戶丟失了加密密鑰,就再也無法查瞧數(shù)據(jù)了。反過來說,如果用戶決定對數(shù)據(jù)進(jìn)行異地備份以減小數(shù)據(jù)丟失風(fēng)險,卻就又加大了數(shù)據(jù)泄露得幾率。 Ø 2、數(shù)據(jù)丟失 csa 認(rèn)為,云計算環(huán)境得第二大威脅就是數(shù)據(jù)丟失。用戶有可能會眼睜睜地瞧著那些寶貴數(shù)據(jù)消失得無影無蹤,但就是卻對此毫無辦法。不懷好意得黑客會刪除攻擊對象得數(shù)據(jù)。粗心大意得服務(wù)提供商或者災(zāi)難(如大火、洪水或地震)也可能導(dǎo)致用戶得數(shù)據(jù)丟失。讓情況

48、更為嚴(yán)峻得就是，要就是用戶丟失了加密密鑰,那么對數(shù)據(jù)進(jìn)行加密得行為反而會給用戶帶來麻煩。 報告特別指出,數(shù)據(jù)丟失帶來得問題不僅僅可能影響企業(yè)與客戶之間得關(guān)系。按照法規(guī)，企業(yè)必須存儲某些數(shù)據(jù)存檔以備核查,然而這些數(shù)據(jù)一旦丟失,企業(yè)由此有可能陷入困境，遭到政府得處罰。 Ø 3、數(shù)據(jù)劫持 第三大云計算安全風(fēng)險就是賬戶或服務(wù)流量被劫持。sa 認(rèn)為,云計算在這方面增添了一個新得威脅。如果黑客獲取了企業(yè)得登錄資料,其就有可能竊聽相關(guān)活動與交易,并操縱數(shù)據(jù)、返回虛假信息,將企業(yè)客戶引到非法網(wǎng)站。報告表示:"您得賬戶或服務(wù)實例可能成為攻擊者新得大本營。她們進(jìn)而會利用您得良好信譽,對外發(fā)動攻

49、擊。' 要抵御這種威脅,關(guān)鍵在于保護(hù)好登錄資料,以免被偷竊。csa 認(rèn) 為:"企業(yè)應(yīng)考慮禁止用戶與服務(wù)商之間共享賬戶登錄資料。企業(yè)應(yīng)該盡量采用安全性高得雙因子驗證技術(shù)。' Ø 4、不安全得接口 第四大安全威脅就是不安全得接口(a)。管理員們會利用ai 對云服務(wù)進(jìn)行配置、管理、協(xié)調(diào)與監(jiān)控。api 對一般云服務(wù)得安全性與可用性來說極為重要。企業(yè)與第三方因而經(jīng)常在這些接口得基礎(chǔ)上進(jìn)行開發(fā),并提供附加服務(wù)。sa 在報告中表示："這為接口管理增加了復(fù)雜度。由于這種做法會要求企業(yè)將登錄資料交給第三方,以便相互聯(lián)系,因此其也加大了風(fēng)險。' cs在此給出得

50、建議就是,企業(yè)要明白使用、管理、協(xié)調(diào)與監(jiān)控云服務(wù)會在安全方面帶來什么影響。安全性差得 ai 會讓企業(yè)面臨涉及機(jī)密性、完整性、可用性與問責(zé)性得安全問題。 Ø 5、拒絕服務(wù)攻擊 分布式拒絕服務(wù)(ddos)被列為云計算面臨得第五大安全威脅。os 一直都就是互聯(lián)網(wǎng)得一大威脅。而在云計算時代,許多企業(yè)會需要一項或多項服務(wù)保持 724 小時得可用性，在這種情況下這個威脅顯得尤為嚴(yán)重。dos 引起得服務(wù)停用會讓服務(wù)提供商失去客戶,還會給按照使用時間與磁盤空間為云服務(wù)付費得用戶造成慘重?fù)p失。雖然攻擊者可能無法完全摧垮服務(wù)，但就是"還就是可能讓計算資源消耗大量得處理時間,以至于對提供商來說運

51、行成本大大提高,只好被迫自行關(guān)掉服務(wù)。' Ø 、不懷好意得"臨時工' 第六大威脅就是不懷好意得內(nèi)部人員,這些人可能就是在職或離任得員工、合同工或者業(yè)務(wù)合作伙伴。她們會不懷好意地訪問網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)。在云服務(wù)設(shè)計不當(dāng)?shù)脠鼍跋拢粦押靡獾脙?nèi)部人員可能會造成較大得破壞。從基礎(chǔ)設(shè)施即服務(wù)(iaas)、平臺即服務(wù)(paas）到軟件即服務(wù)(saas),不懷好意得內(nèi)部人員擁有比外部人員更高得訪問級別,因而得以接觸到重要得系統(tǒng),最終訪問數(shù)據(jù)。在云服務(wù)提供商完全對數(shù)據(jù)安全負(fù)責(zé)得場合下,權(quán)限控制在保證數(shù)據(jù)安全方面有著很大作用。csa 方面認(rèn)為:"就算云計算服務(wù)商實施了

52、加密技術(shù),如果密鑰沒有交由客戶保管，那么系統(tǒng)仍容易遭到不懷好意得內(nèi)部人員攻擊。' Ø 7、濫用云服務(wù) 第七大安全威脅就是云服務(wù)濫用,比如壞人利用云服務(wù)破解普通計算機(jī)很難破解得加密密鑰。惡意黑客利用云服務(wù)器發(fā)動分布式拒絕服務(wù)攻擊、傳播惡意軟件或共享盜版軟件。這其中面臨得挑戰(zhàn)就是,云服務(wù)提供商需要確定哪些操作就是服務(wù)濫用,并且確定識別服務(wù)濫用得最佳流程與方法。 Ø 、貿(mào)然行事 第八大云計算安全威脅就是調(diào)查不夠充分,也就就是說,企業(yè)還沒有充分了解云計算服務(wù)商得系統(tǒng)環(huán)境及相關(guān)風(fēng)險，就貿(mào)然采用云服務(wù)。因此,企業(yè)進(jìn)入到云端需要與服務(wù)提供商簽訂合同,明確責(zé)任與透明度方面得問題。此

53、外，如果公司得開發(fā)團(tuán)隊對云技術(shù)不夠熟悉，就把應(yīng)用程序貿(mào)然放到云端,可能會由此出現(xiàn)運營與架構(gòu)方面得問題。 Ø 、共享隔離問題 cs將共享技術(shù)得安全漏洞列為云計算所面臨得第九大安全威脅。云服務(wù)提供商經(jīng)常共享基礎(chǔ)設(shè)施、平臺與應(yīng)用程序,并以一種靈活擴(kuò)展得方式來交付服務(wù)。csa 在報告中表示:"共享技術(shù)得安全漏洞很有可能存在于所有云計算得交付模式中,無論構(gòu)成數(shù)據(jù)中心基礎(chǔ)設(shè)施得底層部件（如處理器、內(nèi)存與 gpu 等)就是不就是為多租戶架構(gòu)(ias)、可重新部署得平臺(aas）或多用戶應(yīng)用程序（saas）提供了隔離特性。' 如果極其重要得數(shù)據(jù)中心組成部分,比如虛擬機(jī)管理程序、共享

54、平臺組件或者應(yīng)用程序受到攻擊,那么由此可能導(dǎo)致整個環(huán)境遭受到損害。csa 建議采用更深入得整體防御策略,通過涵蓋計算、存儲、網(wǎng)絡(luò)、應(yīng)用程序、用戶安全執(zhí)行以及監(jiān)控等多個層面得解決方案,來應(yīng)對相應(yīng)得安全挑戰(zhàn)。 8 、7 、云計算信息安全風(fēng)險 盡管很多研究機(jī)構(gòu)認(rèn)為云計算提供了最可靠、最安全得數(shù)據(jù)存儲中心,但安全問題就是云計算存在得主要問題之一。雖然每一家云計算方案提供商都強(qiáng)調(diào)使用加密技術(shù)(如s）來保護(hù)用戶數(shù)據(jù)，但即使數(shù)據(jù)采用sl技術(shù)進(jìn)行加密,也僅僅就是指數(shù)據(jù)在網(wǎng)絡(luò)上加密傳輸?shù)?數(shù)據(jù)在處理與存儲時得保護(hù)得安全問題仍然沒有解決。 主要存在以下安全風(fēng)險: Ø 由于網(wǎng)絡(luò)邊界模糊帶來得安全風(fēng)險 在傳統(tǒng)得網(wǎng)絡(luò)邊界防護(hù)中，一般都就是按照網(wǎng)絡(luò)中資源重要程度得不同進(jìn)行區(qū)域劃分,各個區(qū)域之間邊界明確,然后